Politique de confidentialité

autovig.be au sens du RGPD : responsable, base juridique par finalité, conservation, destinataires, garanties de transfert, droits et recours auprès de l'APD.

La présente politique décrit le traitement des données à caractère personnel mis en œuvre lors de votre consultation du site autovig.be (le « Site »). Elle est rédigée en exécution des articles 12, 13 et 14 du Règlement (UE) 2016/679 (le « RGPD ») et de la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

autovig.be est la déclinaison locale belge du service éditorial Autovig consacré aux vignettes et péages autoroutiers européens. Il n'héberge pas de comptes utilisateurs, ne traite aucun paiement et n'héberge pas de contenu produit par les utilisateurs. Les données à caractère personnel traitées se limitent donc à ce qui est techniquement nécessaire pour exploiter un site web public, mesurer la performance éditoriale et répondre aux messages que vous nous adressez.

1. Identité du responsable du traitement

Le responsable du traitement, au sens de l'article 4, 7) du RGPD, est :

Les références à « Autovig », « nous » ou « notre » dans la présente politique désignent Autovig agissant sous la marque Autovig sur la propriété locale belge autovig.be. Le responsable est établi dans l'Union européenne ; aucune désignation d'un représentant au sens de l'article 27 du RGPD n'est requise.

2. Délégué à la protection des données

Autovig n'a pas désigné de délégué à la protection des données. Les opérations de traitement décrites dans la présente politique n'atteignent pas les seuils de l'article 37, paragraphe 1, du RGPD : le responsable n'est pas une autorité publique, ses activités de base ne consistent pas en un suivi régulier et systématique à grande échelle des personnes concernées et n'impliquent pas de traitement à grande échelle de catégories particulières de données au sens des articles 9 et 10.

Toute demande relative à la protection des données, y compris l'exercice des droits, est traitée par l'éditeur responsable à l'adresse contact@autovig.eu.

3. Catégories de données et sources

Nous traitons les catégories suivantes de données à caractère personnel. Chaque catégorie est détaillée par finalité, base juridique, destinataires, durée de conservation et transferts à la section 5.

CatégorieExemplesSource

Données de connexionAdresse IP, horodatage, méthode HTTP, URL demandée, code de réponse, agent utilisateur, référentGénérées automatiquement par l'en-tête HTTP envoyé par votre navigateur

État du consentementDécision par catégorie de cookies (nécessaires / mesure d'audience)Fournie par vous via la bannière ; stockée dans le stockage local de votre navigateur

Mesures d'audienceÉvénements pseudonymes : page consultée, langue, classe d'appareil, hôte référentGénérées par votre navigateur uniquement après votre consentement à la mesure d'audience

Données de correspondanceAdresse e-mail, contenu de votre message et données que vous y intégrezFournies par vous lorsque vous nous écrivez

Données de signalement de vulnérabilitéAdresse e-mail, description technique de la faille, éventuel contenu chiffré PGPFournies par vous lorsque vous signalez une faille de sécurité au titre de notre politique de divulgation coordonnée

Nous ne traitons aucune catégorie particulière de données au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques, données biométriques, données concernant la santé, la vie sexuelle ou l'orientation sexuelle), ni de données relatives à des condamnations pénales au sens de l'article 10. Nous ne procédons à aucune prise de décision automatisée, y compris du profilage, produisant des effets juridiques ou affectant la personne concernée de manière significative au sens de l'article 22.

4. Données que nous ne collectons pas

Pour être explicite, nous ne collectons ni ne traitons : identifiants de compte, données de paiement, pièces d'identité, adresses postales, numéros de téléphone, plaques d'immatriculation, données de géolocalisation au-delà de ce qu'une adresse IP révèle intrinsèquement, identifiants publicitaires, identifiants de suivi inter-sites ou profils de publicité comportementale.

5. Finalités, bases juridiques, destinataires, conservation et transferts

Le tableau suivant détaille, par finalité, les données utilisées, la base juridique au sens de l'article 6 du RGPD, les destinataires, la durée de conservation et les éventuels transferts hors EEE.

FinalitéDonnées utiliséesBase juridique (art. 6 RGPD)DestinatairesConservationTransferts hors EEE

Mise à disposition du Site (rendu des pages, routage linguistique)Données de connexion, état du consentementIntérêt légitime — art. 6, §1, f) : exploiter un site web publicHébergeur (OVH SAS, France)Données de connexion : jusqu'à 12 mois dans les journaux opérationnels ; état du consentement conservé sur votre appareil jusqu'à effacement par vousAucun — l'hébergement est dans l'Union

Sécurité opérationnelle (lutte contre les abus, détection d'intrusion, réponse aux incidents)Données de connexionIntérêt légitime — art. 6, §1, f) : sécuriser le Site, mis en balance avec votre attente raisonnable selon laquelle le trafic vers un site public est enregistré à des fins de sécurité ; obligation légale — art. 6, §1, c) en cas de réquisition par une autorité judiciaire belge sur la base des articles 39 et 88 du Code d'instruction criminelleHébergeur ; sur réquisition légale, autorités judiciaires ou de contrôle belgesJournaux de sécurité : jusqu'à 12 moisAucun

Mesure d'audience éditoriale (pages vues, langues, référents)Événements de mesure d'audienceConsentement — art. 6, §1, a) : les événements ne sont chargés qu'après votre acceptation sur la bannière ; le retrait du consentement est aussi simple que son recueil via Préférences cookiesGoogle Ireland Limited (Irlande), sous-traitant au sens de l'article 28 du RGPD ; transfert ultérieur possible à Google LLC (États-Unis) au sein du même groupeConservation par défaut : 14 mois au niveau événement dans la propriété de mesure ; suppression anticipée possible sur demande (section 7)Oui — Google LLC, États-Unis, au titre des clauses contractuelles types (décision d'exécution (UE) 2021/914) et du cadre de protection des données UE–États-Unis (décision d'exécution (UE) 2023/1795), Google LLC étant auto-certifié au DPF

Réponse à vos messagesDonnées de correspondanceIntérêt légitime — art. 6, §1, f) pour les demandes générales ; exécution d'un contrat — art. 6, §1, b) lorsque le message constitue une demande précontractuelle dès qu'un parcours d'achat sera ouvertHébergeur de la boîte aux lettres ; aucun prestataire d'envoi d'e-mails marketingJusqu'à 24 mois après le dernier échange du fil, sauf conservation plus longue nécessaire à la défense d'une action en justice (jusqu'à 10 ans en application de l'article 2262bis du Code civil belge)Aucun — la boîte aux lettres est hébergée dans l'Union

Réception de signalements de vulnérabilitéDonnées de signalement de vulnérabilitéIntérêt légitime — art. 6, §1, f) : divulgation coordonnée des vulnérabilités au sens de l'ISO/IEC 29147:2018 et de la loi du 28 novembre 2022 relative aux lanceurs d'alerte et à la divulgation coordonnée de vulnérabilitésÉquipe interne de gestion de la sécurité ; divulgation coordonnée avec le tiers concerné le cas échéantJusqu'à 5 ans pour les signalements clôturés, conformément à la durée recommandée par la politique de divulgation coordonnée du Centre pour la cybersécurité Belgique (CCB)Aucun

Conservation de la preuve du consentement (art. 7, §1, RGPD)État du consentementObligation légale — art. 6, §1, c) lu avec l'art. 7, §1, RGPDStockage local de votre navigateur uniquement ; rien n'est transmisJusqu'à effacement par vous ou modification de votre choixAucun

L'ajout d'une nouvelle finalité ou d'un nouveau sous-traitant déclenche la mise à jour de la présente politique avant le début du nouveau traitement, la révision de la date updatedAt figurant en tête de page et l'affichage d'un avis pendant au moins 30 jours.

Note sur l'intérêt légitime

Pour chacune des finalités énumérées ci-dessus reposant sur l'intérêt légitime (art. 6, §1, f)), nous avons procédé à l'examen en trois étapes exigé par les lignes directrices 01/2024 du CEPD et par le considérant 47 du RGPD :

l'intérêt poursuivi est légitime (exploiter, sécuriser et répondre aux demandes d'un service éditorial licite) ;

le traitement est nécessaire à cet intérêt (aucun moyen moins intrusif ne permet d'atteindre le même résultat — par exemple, les journaux de connexion ne peuvent être remplacés pour la réponse aux incidents) ;

le traitement ne porte pas atteinte aux droits et libertés fondamentaux de la personne concernée, compte tenu du caractère limité des données, des durées brèves de conservation, de l'absence de profilage et du contexte public dans lequel les données sont transmises.

Vous pouvez à tout moment vous opposer au traitement fondé sur l'intérêt légitime au titre de l'article 21 du RGPD ; la procédure est décrite à la section 7.

6. Cookies et technologies similaires

L'inventaire complet des cookies et technologies similaires déposés ou lus sur le Site, y compris leur nom, leur finalité, leur durée et les tiers concernés, figure dans la politique cookies. Vous pouvez accorder, refuser ou retirer votre consentement aux traceurs non strictement nécessaires à tout moment via Préférences cookies.

Le consentement est recueilli conformément à l'article 5, §3, de la directive 2002/58/CE telle que modifiée (la « directive ePrivacy ») et à sa transposition belge à l'article 129 de la loi du 13 juin 2005 relative aux communications électroniques. Les traceurs strictement nécessaires sont déposés sans consentement sur le fondement de la même disposition.

7. Vos droits

Au titre des articles 15 à 22 et 77 du RGPD, vous disposez des droits suivants :

accès aux données vous concernant (art. 15) ;

rectification des données inexactes ou incomplètes (art. 16) ;

effacement (« droit à l'oubli ») dans les cas énumérés à l'article 17 ;

limitation du traitement dans les cas énumérés à l'article 18 ;

portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou les faire transmettre à un autre responsable, dans les cas énumérés à l'article 20 ;

opposition au traitement fondé sur l'intérêt légitime (art. 21) ;

retrait du consentement à tout moment, sans porter atteinte à la licéité des traitements effectués avant le retrait (art. 7, §3) ;

ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative (art. 22) ; aucune telle décision n'est mise en œuvre.

Comment exercer vos droits

Écrivez à contact@autovig.eu. Précisez le droit que vous souhaitez exercer et les données concernées. Nous pouvons demander les informations strictement nécessaires à la confirmation de votre identité avant de répondre à votre demande, conformément à l'article 12, §6, du RGPD. Nous répondons dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en raison de la complexité ou du nombre de demandes ; vous serez informé de toute prolongation dans le mois suivant la réception de la demande.

L'exercice des droits d'accès, de rectification, d'effacement, de limitation et de portabilité est gratuit, sauf demande manifestement infondée ou excessive (art. 12, §5, du RGPD).

8. Droit d'introduire une réclamation

Si vous estimez que le traitement de vos données enfreint le RGPD, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. En tant que résident belge, l'autorité compétente pour le responsable est l'APD — voie principale :

Autorité de protection des données / Gegevensbeschermingsautoriteit (APD / GBA)

Rue de la Presse 35 / Drukpersstraat 35, 1000 Bruxelles / 1000 Brussel, Belgique

Téléphone : +32 (0)2 274 48 00

Formulaire de plainte en ligne : https://www.autoriteprotectiondonnees.be/citoyen/agir/introduire-une-plainte

En application de l'article 77, §1, du RGPD, vous pouvez également saisir l'autorité de contrôle de l'État membre de l'Union ou de l'EEE de votre résidence habituelle, de votre lieu de travail ou du lieu de la violation alléguée. La liste des autorités nationales est publiée par le Comité européen de la protection des données : https://www.edpb.europa.eu/about-edpb/about-edpb/members_en.

9. Transferts internationaux — détails des garanties

Le seul transfert vers un pays tiers identifié à la section 5 concerne Google Analytics 4. Lorsque les événements de mesure d'audience sont retransférés de Google Ireland Limited (Irlande) à Google LLC (États-Unis), le transfert repose sur deux garanties cumulatives :

Clauses contractuelles types — module 2 (responsable du traitement à sous-traitant) de la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021, signées entre le responsable et Google Ireland Limited et étendues à Google LLC en tant que sous-traitant ultérieur au sens de l'article 28, §2, du RGPD.

Cadre de protection des données UE–États-Unis — décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023, au titre de laquelle Google LLC est auto-certifié. Le statut courant peut être vérifié sur https://www.dataprivacyframework.gov.

Une copie des garanties peut être obtenue à l'adresse contact@autovig.eu. Aucun autre transfert hors EEE n'est mis en œuvre.

10. Sécurité du traitement

Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l'article 32 du RGPD, en tenant compte de l'état de l'art, du coût de la mise en œuvre, de la nature et de la portée du traitement et des risques pour les personnes concernées. Ces mesures comprennent : TLS en transit pour l'ensemble du trafic public, accès aux systèmes opérationnels selon le principe du moindre privilège, séparation des environnements de build, de pré-production et de production, revue des journaux pour détecter les comportements anormaux et procédure documentée de notification à l'APD/GBA dans un délai de 72 heures et à la personne concernée sans retard injustifié lorsque la violation est susceptible d'engendrer un risque pour ses droits et libertés (articles 33 et 34 du RGPD).

Nous accueillons favorablement les signalements de vulnérabilités présumées au titre de notre politique de divulgation coordonnée. Les mesures techniques spécifiques ne sont pas détaillées ici, leur divulgation pouvant affaiblir la protection qu'elles offrent.

11. Mineurs

Le Site ne s'adresse pas aux mineurs et nous ne traitons pas sciemment de données à caractère personnel concernant des mineurs en deçà du seuil de consentement numérique. En Belgique, l'article 7, §1, de la loi du 30 juillet 2018 fixe ce seuil à 13 ans pour les services de la société de l'information offerts directement à un mineur sur la base du consentement. Si vous constatez qu'un mineur en deçà de ce seuil nous a transmis des données, écrivez à contact@autovig.eu ; les données seront effacées sans retard injustifié.

12. Modifications de la présente politique

La présente politique peut être mise à jour à mesure que le Site évolue. La date updatedAt figurant en tête de page reflète la dernière révision. Les modifications substantielles — nouveau sous-traitant, nouvelle finalité, nouveau mécanisme de transfert — sont signalées en haut de la page pendant au moins 30 jours avant leur entrée en vigueur. Les versions antérieures peuvent être obtenues sur demande à contact@autovig.eu.

13. Date d'entrée en vigueur

La présente politique entre en vigueur à la date updatedAt figurant en tête de page. Elle annule et remplace toute version antérieure.

Sources

Les instruments suivants sont cités ou mis en œuvre ci-dessus. Chaque lien est le permalien consolidé.

Règlement (UE) 2016/679 (RGPD)

Décision d'exécution (UE) 2021/914 (clauses contractuelles types)

Décision d'exécution (UE) 2023/1795 (cadre de protection des données UE–États-Unis)

Directive 2002/58/CE telle que modifiée (ePrivacy)

Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Loi du 13 juin 2005 relative aux communications électroniques

Loi du 28 novembre 2022 (lanceurs d'alerte / divulgation coordonnée de vulnérabilités)

Code civil belge, article 2262bis

Lignes directrices 05/2020 du CEPD sur le consentement

Lignes directrices 01/2024 du CEPD sur l'intérêt légitime

Autorité de protection des données / Gegevensbeschermingsautoriteit — https://www.autoriteprotectiondonnees.be / https://www.gegevensbeschermingsautoriteit.be